十大企业网络安全误区自查清单

近日,Sophos Rapid Response快速响应团队编制了一份安全误区清单,列出了他们在过去12个月中调查和缓解各种企业网络攻击时最常见的安全误区,GoUpSec对其进行了整理,归纳出十大企业网络安全误区自查清单。

误区一:企业规模小,或者没有对攻击者有价值的资产,所以不会是攻击目标

许多网络攻击的受害者都认为他们规模太小,处于一个缺乏可吸引对手的有利可图的资产领域。事实是,这并不重要:如果您拥有处理能力和数字资产,那么您就是目标。大多数袭击并非由先进的国家黑客实施的,而是由机会主义者发起的,他们寻找容易的猎物和低垂的果实,例如存在网络犯罪分子很容易利用的安全漏洞或配置错误的组织。

如果企业认为自己不是目标,则往往不能主动检测寻找网络上的可疑活动,例如域控制器上出现Mimikatz(允许用户查看和保存身份验证凭据的开源应用程序),因此会错过发现攻击的早期迹象。

误区二:我们不需要每个地方都安装先进的安全技术

一些IT团队仍然认为端点安全软件足以阻止所有威胁或不需要服务器安全。攻击者则充分利用了安全团队的这种误解。配置、修补或保护方面的任何错误都会使服务器成为主要目标,而不是过去的次要目标。

能够绕过或禁用端点软件并逃避IT安全团队检测的攻击技术列表与日俱增。例如:利用社会工程和多个脆弱点进入的由人类操作的攻击;大量压缩和混淆的恶意代码直接注入内存;“无文件”恶意软件攻击,例如反射DLL(动态链接库)加载;使用合法的远程访问代理(例如Cobalt Strike)以及日常的IT管理工具和技术进行攻击。基本的防病毒技术将难以检测和阻止此类活动。

同样,认为受保护的端点可以阻止入侵者进入不受保护的服务器的假设也是一个错误。根据Sophos RapidResponse的安全事件调查,服务器现在是首要攻击目标,攻击者可以使用窃取的访问凭证轻松找到直接路由。大多数攻击者还知道利用Linux机器的方式。事实上,攻击者经常侵入Linux机器并在其中安装后门,以将其用作避风港并保持对目标网络的访问。

如果您的组织仅依赖基础安全措施,而没有更先进的集成工具,例如基于行为和AI的检测以及24×7以人为主导的安全运营中心,那么入侵者最终可能会找到绕过您的防御。

最后,始终记住,虽然预防是理想的,但检测是必须的。

误区三:企业自认为制定了可靠的安全策略

为应用程序和用户制定安全策略至关重要。但是,随着新特性和功能添加联网设备,它们需要不断的安全检查和更新。企业需要定期使用渗透测试、桌面练习和灾难恢复计划试运行等技术验证和测试策略。

误区四:远程桌面协议服务器可以通过更改所在的端口并引入多因素身份验证来保护它们免受攻击者的攻击

RDP服务使用的标准端口是3389,所以大多数攻击者会扫描这个端口来寻找开放的远程访问服务器。然而,扫描将识别任何开放的服务,无论它们在哪个端口上,因此更改端口本身并不能提供太多保护。

此外,虽然引入多因素身份验证很重要,但除非对所有员工和设备强制执行该策略,否则它不会增强安全性。RDP活动应该在虚拟专用网络 (VPN) 的保护边界内进行,但如果攻击者已经在网络中立足,VPN也无法完全保护组织。理想情况下,除非必要,否则IT安全应该限制或禁止在内部和外部使用RDP。

误区五:屏蔽来自俄罗斯和朝鲜等高风险地区的IP地址可以保护我们免受来自这些地区的攻击

阻止来自特定区域的IP不太可能造成任何伤害,但如果您仅依靠它来进行保护,则可能会产生虚假的安全感。攻击者在许多国家/地区托管其恶意基础设施,热点攻击源包括美国、荷兰和欧洲其他地区。

误区六:数据备份可以抵御勒索软件的威胁

保持文档的最新备份对业务至关重要。但是,如果您的备份连接到网络,那么它们也在攻击者的范围内,并且容易在勒索软件攻击中被加密、删除或禁用。

值得注意的是,限制可以访问您的备份的人数可能不会显著提高安全性,因为攻击者会花时间在您的网络中寻找这些人及其访问凭据。

同样,在云中存储备份也需要小心——在一起安全事件中,攻击者通过被黑的IT管理员账户向云服务提供商发送电子邮件,要求他们删除所有备份。结果,供应商答应了。

可用于在勒索软件攻击后恢复数据和系统的安全备份的标准公式是3:2:1:所有数据都有三个副本,使用两个不同的系统,其中一个处于离线状态。

最后要注意的一点是,拥有离线备份并不能确保您的信息免受基于勒索的勒索软件攻击,犯罪分子会窃取并威胁要发布您的数据,而不是对它们进行加密。

误区七:我们的员工了解网络安全相关问题

根据《2021年勒索软件状况》报告,22%的组织认为,由于很难防止员工被攻击者利用,他们在未来12个月内将遭到到勒索软件的攻击。

网络钓鱼电子邮件等社会工程手段变得越来越难以发现。钓鱼信息通常是手工制作(定制)的,内容非常准确,有说服力和针对性。您的员工需要知道如何发现可疑消息以及收到消息后该怎么做,他们该通知谁以便其他员工保持警惕。

误区八:勒索软件攻击后,事件响应团队可以恢复数据

这种可能性正变得越来越小。今天的攻击者犯的错误要少得多,加密过程也有所改进,因此依靠事件响应者找到可以消除损害的漏洞是极其罕见的。大多数现代勒索软件还会删除Windows Volume ShadowCopies等自动备份,并覆盖存储在磁盘上的原始数据,因此除了支付赎金外,企业难以恢复数据。

误区九:遭受勒索软件攻击后,支付赎金将能取回数据

根据2021年勒索软件状况调查,只有大约三分之二 (65%)支付赎金的组织恢复了数据。其中只有8%恢复了所有数据,29%恢复了不到一半。因此,即使简单的选择支付赎金或者您的网络保险已涵盖了赎金,也不是让您重新站起来的直接解决方案。

此外,恢复数据只是恢复过程的一部分——在大多数情况下,勒索软件会完全禁用计算机,并且需要从头开始重建软件和系统,然后才能恢复数据。2021年的调查发现,恢复成本平均是赎金需求的十倍。

误区十:勒索软件攻击最糟糕的结果就是数据被公布——如果企业能挺过这一关就没事了

在勒索软件利用、禁用或删除备份,查找具有高价值信息的机器或应用程序以进行加密、删除信息和安装额外的有效载荷(例如后门)之前,攻击者可能已经在您的网络中停留了数天甚至数周。在受害者的网络中保持存在可以让攻击者根据需要发起第二次攻击。

上一篇
下一篇